Black Hat大会已经走到第19个年头了——这应该是黑客们每年最为盛大的技术分享盛宴之一。Black Hat USA 2016依然在美国拉斯维加斯举行,全程6天。美国东部时间7月30日-8月2日的头4天是针对不同人群的Training,最后两天就是众所期盼的各种Keynote了,不管是技术的还是行业的,还有Arsenal工具陈列分会场、Pwnie Awards颁奖等内容。
Android,iOS和移动安全
加密技术
数据取证和应急响应技术(DFIR)
企业安全
攻击程序的开发与应用
安全硬件/嵌入式
人际安全
物联网安全
恶意软件
网络防御技术
平台安全(虚拟机、操作系统、主机以及其他平台)
政策法规
逆向工程
安全开发
智能电网与工控安全
Web应用安全
美国东部时间8月3日可算这场派对的第一天,这一天有哪些有趣的话题的会上分享呢?我们选择其中一些简单谈谈,如果没看到你感兴趣的话题也不要紧。要知道这两天的演讲内容超百场,我们会在随后的报道中慢慢呈现其中有趣的内容。
这可能是个传说,就是如果你要攻陷某个人或者某家企业,就在他面前故意丢个U盘,而且这U盘看起来还需要很好看。这个U盘自然会被人捡走,一旦插上主机设备,感染目标也就达成了。
谷歌反欺诈研究团队负责人Elie Bursztein分享的这个议题名为“Does dropping USB drives really work?”为了解答这个问题,他们准备了297个USB驱动设备——听说过BadUSB吗?通过HID Spoofing加强USB攻击(另外还有通常的社工和复杂的0day攻击),然后把这些设备散落到UIUC校园(伊利诺伊大学厄巴纳-香槟分校)各处。
丢的位置还很有讲究
U盘里面还的确塞了些内容,比如期末考试的答案…分别在停车场、室外、教室、走廊等处“丢”这些设备。结果居然还真有人在Reddit中讨论此事,“校园内惊现包含期末考试答案的U盘”,虽然还是有人识破了诡计。
290个USB设备被捡走,135个成功入侵,看样子大伙儿还是很爱U盘的。在这份研究中,Bursztein另外还详述了打造HID key,伪装成U盘的方法。有兴趣的同学可以 点击这里 查看详情,Bursztein已经公开了他在Black Hat USB 2016上演讲的PPT。
Rapid7的安全研究人员Weston Hecker在大会上公布了一个DIY的小工具。这东西只用到了市面上可以买得到的现成组件,成本只需6美元,尺寸就一张卡片大小。它能方便地读取和复制酒店门卡,和先前的MagSpoof挺有异曲同工之妙。
而且通过读取门卡的房间ID记录、门房号、退房时间等信息,就可以猜出其他客房的key组合方式——只要把设备放在读卡器旁边,它就能每分钟进行48次猜测,设备本身还有额外的散热设计,达到随意进出客房的目的。
此外这个小工具还能用来搞定PoS系统:将它放到那些读磁条的PoS机旁边,就能注入恶意信息,迫使PoS系统访问恶意网站,下载执行木马。
福布斯杂志文章提到:“Hecker是从今年4月份开始搞酒店Key暴力攻击的,虽然他的这项技术有那么点慢,要猜个key需要至多20分钟。他另外在研究中还发现,只要用一台中国造的廉价MP3播放器,就能将信用卡卡号注入到ATM设备中,进行盗窃。”
欲了解详情可 点击这里 ,查看Forbes的文章。
有关Windows 10 Mobile的Threshold 2更新中,有个Project Astoria项目,应该是很多人都知道的事情了——微软在Windows系统中塞了个Linux 3.4内核。先前这个项目是为了Android应用移植到Windows 10 Mobile平台而制的。实际上,里面的Linux内核提供了针对VFS、BSD Sockets、ptrace和一个ELF loader的完整支持。
不过微软中途就取消了该项目,可是在前两天微软才推的Windows 10周年更新(Redstone)中,Linux内核又回来了,而且还进行了提升(看到Bash Shell吗?)。这个新内核与相关组件可以运行100%原生Linux二进制文件。也就是说NT可以执行Linux系统调用、调度线程租、访问VDSO。
这其实可以引发很多思考,针对虚拟文件系统层、网络栈、内存和进程管理逻辑、ELF parser和loader,这些都很能引起黑客们的兴趣。来自CrowdStrike首席架构师Alex Ionescu进行的就是这个话题的探讨。
比如说以后Windows设备是否会受到Linux/Android恶意程序的影响,在安全软件方面都需要做些什么,Linux系统调用是如何实现的等等。有兴趣的同学可待我们之后的报道,这个keynote还是相当有技术含量,包括介绍Windows系统的新规范转变,还有一些相当有趣的设计漏洞。Windows 10以后是否要面临更严峻的安全挑战呢?
思科高级安全顾问Carl Vincent今天分享了这个有趣的议题——实际上Imperva的研究人员这两天才公布HTTP/2协议的4个安全漏洞。HTTP/2也就是相较HTTP 1.1之后的新一代协议,是在去年发布的,目前有大约9.1%的网站采用HTTP/2。
早在2010年的时候,HTTP/1.1就曝出了Slowloris攻击——当时也是安全行业的大事,发动Slowloris攻击可从信用卡公司服务器上盗窃数据。Imperva曝光的就包括HTTP/2 Web服务器上的Slow Read攻击,本质上这就是Slowloris的移植,对Apache、IIS、Jetty、NGINX和nghttp2等都有影响——这也是HTTP/2可被利用的一个典型例子。
而QUIC——Quick UDP Internet Connections是基于UDP的协议,在端点间进行应用级别的多路传输连接,对于降低网络通信延迟、提供更好的用户体验是具备意义的。Vincent分享的就是针对HTTP/2和QUIC的多路传输攻击,在HTTP/2之下利用QUIC进行攻击。
这个议题实际上是分享Pwn2Own 2016的得奖作品,演讲者是来自趋势科技Zero Day Initiative的4名安全研究人员。今年的Pwn2Own黑客大赛据说“史无前例地”表现了当前“软件漏洞利用的现状”:获奖作品都是通过浏览器或者默认浏览器插件,以超级管理员(system/root)的身份进行远程代码执行。
这次得奖的许多权限获取过程,是通过利用Windows或者OS X内核进行的——在以往的比赛中,将浏览器作为“初始向量”进行内核的利用,是相当少见的。所以这个议题,就是呈现Pwn2Own黑客大赛的成果,内容包含当代浏览器漏洞利用,内核Use-After-Free(释放后使用)利用的复杂性等。
研究人员认为,应用沙盒技术对安全性是有帮助的,但也无法阻止攻击。“应用沙盒实际上是个很不错的方法,但内核攻击面仍然在扩展和爆发。几乎每个最终成功的攻击方式都是利用底层的漏洞来绕过沙盒。”
对此有兴趣的同学可以 点击这里 ,查看PPT详情。
由于议题实在是非常多,而且很多议题都是可以花很长篇幅来介绍的,这里我们也只能列举一部分。而且Black Hat USA 2016现场其实也有很多有趣的东西,比如说现场有个交互式网络攻击管理(interactive cyberattack management)游戏,采用3D打印模型,外加普通电机、4个Arduinos板子和从经典桌游Hungry Hungry Hippos和Mind Flex拿来用的组件,最终组成了这么个DIY项目,看起来很有极客精神。
这是由IBM爱尔兰实验室的网络安全专家所制——虽然研究人员说是“低科技”,实际上听起来还是很高端,本身这东西有个戴在头上的设备(就是改装自桌游Mind Flex),此设备采用Arduino板子互联驱动。两名玩家都要戴上这个装置,皆由API生成脑电波图,然后实时与对方的脑电波对抗。
参与游戏的玩家的脑部活动最终是通过小河马玩具来做出反馈的(如上图所示),脑部活动越弱,河马动得越快,所以最冷静的人最终才能获胜。
研究人员还有一套说辞:“这个项目代表了应对网络事故的态度,我们需要找到自己的平衡。致胜关键就是要冷静。这个项目就是将控制你的反映进行了游戏化。”亲临Black Hat USA的同学请前往No. 908展台去试试这个游戏。
有这些有趣的议题,和有趣的展台,今年的Black Hat USA的确还是相当火热的,就连希拉里克林顿都想借这次活动拉声势,所以有个名叫Clinton fundraiser的资金筹集活动在周三的大会期间进行——这应该是美国历史上首次在黑客大会期间举行相关政党的筹款活动。最近希拉里本人也的确是安全新闻的常客。这也表明,美国的公共政策已经越来越与技术挂钩。Rook Security的CEO J.J. Thompson甚至说,网络安全将影响到下一任总统(shape the next presidency)。
不过希拉里本人并不会出席这次活动,本次筹款活动历时2小时,购票进入的观众会看到Black Hat与DEF CON创始人Jeff Moss,还有美国国土安全部前安全顾问Jake Braun等人有关网络策略问题的演讲。
更多相关Black Hat和DEF CON的议题,FreeBuf也会在接下来的一段时间内进行追踪和剖析,敬请关注。
* FreeBuf官方报道,作者/欧阳洋葱,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)